Gå direkt till sidans huvudinnehåll

Siteimprove Analytics och GDPR - har Amazon som underleverantör post-Schrems

Siteimprove Analytics och GDPR - har Amazon som underleverantör post-Schrems

Siteimprove Analytics är inte helt utan problem kring GDPR, lite beroende på hur mycket säkerhetsmarginaler man som kund vill ha till amerikanska underleverantörer så här post-Schrems. Siteimprove är ett företag inom EU, men de använder det amerikanska företaget Amazon som underleverantör. Visserligen ifrån tysk mark enligt Siteimprove, men med tanke på Snowdens avslöjanden 2013 hindrar inte det amerikanska myndigheter från att hämta ut data när de så vill, tyvärr.

I korta drag:

  • Siteimprove Analytics använder enligt dem själva amerikanska leverantörerna Amazon AWS, visserligen från tysk mark, samt Cloudflare.
  • Siteimprove Analytics blir problematiskt att köpa för organisationer som lyder under GDPR eftersom Siteimproves underleverantör träffas av amerikansk lagstiftning, vilken inte respekterar EU-medborgares rättigheter.
  • Amazon lyder under amerikansk extraterritoriell lagstiftning, vilket innebär att de tvingas ge amerikanska myndigheter tillgång till data oavsett var i världen dessa data befinner sig.
  • De organisationer som tar GDPR på stort allvar och vill ha en god säkerhetsmarginal gentemot Schrems-domen bör nog fundera på att inte välja Siteimprove Analytics då det är en molntjänst med amerikanska beroenden, trots att Siteimprove är ett företag inom EU.

Genvägar i inlägget:


Disclaimer – full transparens

Jag som skriver detta, Marcus Österberg, har en bakgrund som produktägare av webbanalysverktyget Matomo på Västra Götalandsregionen. Utöver det jobbar jag för närvarande deltid med webbanalys-frågor, särskilt i Matomo, för webbyrån Whitespace. Detta tänkte Siteimproves chefsjurist hålla emot mig i ett obehagligt svar på min inbjudan att tycka till om ett utkast på denna bloggpost. Deras svar gick i korthet ut på att jag behövde annonsmarkera denna bloggpost, att den ‘marknadsföring’ en sådan bloggpost innebär behöver vara korrekt, följa marknadsföringslagen och att de tänkte hålla koll på vad som släpptes. Om det var ett försök till avskräckande hot eller inte vet bara Siteimproves chefsjurist. Men jag har efter dialog med en egen jurist kommit fram till att jag ändå vågar publicera mina betraktelser i denna fråga.

Jag har i åratal rekommenderat Siteimproves övriga verktyg och gillar verkligen vad de skapat för organisationer att följa upp tillgänglighet på webben. På grund av mitt höga förtroende till dem bjöd jag in dem att ge kommentarer på ett utkast till denna bloggpost.

Siteimproves chefsjurist svarade bl.a. att de tar avstånd från “påståendet att Siteimproves databehandling innebär överföring av data till USA”. Rent tekniskt och juridiskt stämmer det säkert. Men ha det i åtanke om vem som initierar överföringen gentemot USA när du läser nedan om FISA-lagstiftningen eller inspekterar hur standardavtal med amerikanska molnleverantörer kan lämna bakdörren öppen för att de har sina underleverantörer i sin tur. Märk väl att jag inte påstår mig veta om Siteimprove har ett avtal med Amazon och Cloudflare som begränsar eventuella underleverantörer. Jag påstår inte heller att det är Siteimprove som skickar EU-medborgares personuppgifter till amerikanska myndigheter.

Jag vill framhålla att även utkastet Siteimprove tog del av innehöll ett tips om Matomo-alternativet, och svenska molntjänsten för webbanalys, Vizzit. Så man kan fundera på hur pass ensidig och partisk jag nu skulle vara rent objektivt till Matomo. Men låt oss återgå till bloggpostens ämne…


I april 2021 lanserade vi på Webperf ett nytt betyg för säkerhet och integritet. Där verktyget FouAnalytics kompletterar testet Webbkoll som vi haft ganska länge.

Säkerhetsverktyget FouAnalytics klassificerar Siteimprove Analytics som en amerikansk tjänst. Detta på grund av den tekniska infrastruktur Analytics-produkten drar nytta av. Mer om vad som betraktas som amerikanskt kommer senare i bloggposten.

Strax efter att det testet lanserats har Webperf börjat samla data om svensk offentlig sektor och bland annat vilka verktyg för webbanalys som används. Jag och andra entusiaster i Webperfs community har tidigare gjort återkommande granskningar av Google Analytics i offentlig sektor och nu våren 2021 tycks Siteimprove Analytics vara näst störst (och näst på tur att granska). Dags att skifta blicken mot Siteimprove helt enkelt och fundera på hur bra val de är i relation till Google Analytics som så många byter ut nu efter Schrems 2-domen sommaren 2020.

Hur GDPR kan vara ett problem för dig som webbanalys-kund?

Enligt GDPR är det du som köper eller använder en molntjänst som ska ha koll på läget! Du behöver känna till vilka risker du exponeras för genom användandet av exempelvis en molntjänst för webbanalys eller vilken tredjepartsutvecklare eller underleverantör som helst. Du behöver göra medvetna och informerade val.

Man kan fundera på hur mycket stöd man får att ta ett välgrundat beslut av de leverantörer av webbanalysverktyg som finns. Jag förde själv dialog med Siteimprove i höstas om deras produkt Siteimprove Analytics och om de sett ett ökat intresse efter Schrems 2-domen sommaren 2020.

Frågan: Har ni märkt av något ökat intresse på den produkten, eller frågor om var data tar vägen eller liknande som kan spåras till GDPR/Schrems 2?

”Ja det gör vi absolut, många frågor om vart datan lagras och GDPR och vi är glada att kunna svara att våra kunder äger datan själva och att våra servrar finns i Europa.

Säg till om du vill ha mer info kring detta.”

– marknadschef på Siteimprove (december 2020)

Så nog kan åtminstone jag tycka att de undviker att prata om hela problembilden. Strax efter detta fick jag reda på att de hade Amazon som underleverantör. I Europa, visserligen. Vilket är en klen tröst enligt de av oss som inte vill utsätta varken våra arbetsgivare, kunder, invånare eller andra för den risk det innebär att blanda in främmande lagstiftning i den tekniklösning vi jobbar med.

Google Analytics är visserligen ett mer uppenbart problem

För de som inte riktigt tog in GDPR där i maj 2018 blev nog insikten att Google Analytics var problematisk utifrån GDPR tydligt för de allra flesta hösten 2020 när Max Schrems och organisationen NOYB massanmälde europeiska företag och organisationer som använder den amerikanska tjänsten.

Följande frågor ställdes på grund av detta av vår svenska tillsynsmyndighet på grund av Google Analytics

Kontentan är ungefärligen att om man som webbanalys-kund väljer att köra vidare med dessa tjänster så måste man själv kunna lämna garantier och bevisa att datan inte lämnas till tredje land. Det är inte upp till din underleverantör – det är ditt ansvar!

Och det är inte direkt enkelt. Det framgår om inte annat av Integritetsskyddsmyndighetens frågor angående Google Analytics, och i ett tillsynsärende kring användningen av Siteimprove Analytics kan man nog lista ut vilka av frågorna som är relevanta med underleverantörer som Amazon och Cloudflare.

Jag tvivlar starkt på att majoriteten av de som köpt Siteimprove Analytics har gjort ett rejält förarbete och kan besvara ett tillsynsärende från Integritetsskyddsmyndigheten med vändande post. Faktum är att jag via en kontakt hört om en större organisation i offentlig sektor, att hens chefer nöjde sig med Siteimproves garantier att datacentret står i EU, trots att hen poängterar att det nog inte riktigt duger. Frågan är hur utbredd denna tro på europeiska datacenter är? Att det duger att du som kund äger all data, att din leverantör inte själv aktivt kommer överföra den utanför EU, när vissa underleverantörer både har rätt och som praxis att erbjuda samma data till ytterligare parter?

Det hade varit intressant att kräva ut de rättsliga ställningstaganden från offentlig sektor som borde föregå respektive beslut att använda IT-tjänster som är beroende av amerikanska molntjänster.

Hur borde man göra då?

Enklast att förklara är att man gör allt själv utan utomstående. Med egen drift av verktygen och allt vad det innebär. Dock passar det inte alla vilket leder till att dessa behöver veta exakt vilka risker de ger sig in på med sina leverantörer och deras eventuella underleverantörer.

En grundbult i GDPR är att den personuppgiftsansvarige (PUA) ska säkerställa att behandlingen är laglig när den låter ett personuppgiftsbiträde (PUB) behandla sina data. Det är just denna grundbult många inte gjort ordentligt. Om man gjort det hade man knappast blivit förvånad över Schrems 2-domen sommaren 2020. Än mindre när NOYB anmälde svenska organisationer som använder Google Analytics för tillsyn i höstas. Eller anmält sig själva till Integritetsskyddsmyndigheten när Sveriges Radio gjorde en granskning av 500 webbplatser inom offentlig sektor i våras.

En alternativ tolkning är att många inte alls tänkt till kring vad dessa verktyg innebär och helt enkelt inte tagit sitt ansvar enligt GDPR.

NOYB:s nästa drag

NOYB har börjat skanna av tiotusentals webbplatser nu. Och de anmälningarna de gjorde i höstas om Google Analytics och Facebook var ju automatiserade vilket kan hinta om vad vi har att vänta oss framöver i form av massanmälningar till de europeiska tillsynsmyndigheterna.

“De har också utvecklat en programvara som känner igen olika typer av cookiebanners som de menar inte följer GDPR och som automatiskt genererar klagomål.”

”Största vågen av klagomål sedan GDPR trädde i kraft” – här är Schrems nya strid (ComputerSweden, maj 2021)

Det kan bli jobbigt för de som hyr webbanalys-verktyg av aktörer som inte går helt fria från utomeuropeiska IT-leverantörer. Det gäller inte bara Google Analytics och Siteimprove Analytics. De som hyr Matomo från fel leverantörer utsätter sig för samma problem, exempelvis om man hyr av Innocraft som erbjuder ett Matomo-moln.

Precis så som vi med Webperf automatiskt kollar om verktygen finns där är det lika enkelt att se om dessa tredjeparter bjuds in innan användaren svarat jakande på cookiemeddelandet. Endast 1 av 105 Siteimprove Analytics-kunder frågade i slutet av juni 2021 om samtycke innan de skickar vidare bl.a. besökarens IP-adress, vilket är en personuppgift enligt Integritetsskyddsmyndigheten (IMY). Inte ens en procent av de som köpt Siteimprove Analytics verkar ha koll på de samtyckeskrav som ställs genom GDPR. Det kan ge en hint om huruvida de här organisationerna kan bedöma om en Amazon-tjänst i Tyskland är ett problem eller ej.

Är det här mer än ett teoretiskt problem?

”Men även om jag, du eller ett bolag inte aktivt för över uppgifter till USA så tar sig amerikanska underrättelsetjänster friheten att titta på data som behandlas av amerikanska bolag eller dotterbolag till amerikanska bolag. Det här gör de med stöd av en lagstiftning som kallas FISA 702 genom ett övervakningsprogram som kallas PRISM.”

”Kommer min patientdata vara med i en terroristförfrågan?” (Datajurist, juni 2021)

Ett flertal av de amerikanska IT-jättarna släpper insynsrapporter (eng, transparency reports) som redogör för hur ofta de lämnar ut data till myndigheter. En vanlig missuppfattning är att man som kund till dessa företag, eller när de finns som underleverantör, kommer få en artig fråga om att främmande lands myndigheter vill ha ens data. Så funkar det inte. Amerikanska PRISM innebär att amerikanska myndigheter har mer eller mindre direktåtkomst till dessa uppgifter om det är ett amerikanskt företag som är inblandat. Exempelvis Google, Microsoft, Apple, Facebook och Amazon.

Lagstiftningen hindrar också IT-leverantören att berätta för sin kund, eller kundens kund, att de har lämnat ut data. Därav insynsrapporterna. De får endast på en övergripande nivå berätta om hur ofta de tvingas lämna ut data. Vilket även för små och troligen ganska ointressanta länder som Sverige är förvånansvärt ofta. Det handlar om cirka tiotalet ärenden per dag som berör Sverige.

Spionage på politiker, tjänstemän och våra industrier

Vi vet också att USA spionerar på bland annat Sveriges politiker och tjänstemän. Senaste avslöjandet gjordes av SVT i maj 2021. Hösten 2020 var det istället industrispionage när USA spionerade på svenska SAAB för att gynna ett amerikanskt bolag vid en upphandling av nya stridsflygplan. Den gången var inte personuppgifter i fokus. Men visst är det onödigt att låta tredjelands intressen ha åtkomst till både personuppgifter och underrättelser som missgynnar våra rättigheter, friheter och ekonomiska intressen? Är det rimligt att svensk offentlig sektor hyr dessa tjänster och lämnar det öppet för dessa säkerhetsrisker? Kanske inte, men skrolla en bit ner i denna text så ser du att det är ett hundratal bland svenska kommuner, regioner och myndigheter som har skaffat ett verktyg för webbanalys som inte helt går fri från denna risk. Kanske i sin iver att överge Google Analytics? Kanske trodde de att nu hade de hittat något som var helt GDPR-säkrat?

Vilka beroenden till underleverantörer har Siteimprove Analytics?

Företaget Siteimprove har tidigare gjort ett uttalande om att informationen de hanterar ligger i ett datacenter på tysk mark. Samtidigt brukar integritetsivrare påpeka att Amazon, och de andra amerikanska IT-jättarna träffas av amerikansk lagstiftning, oavsett var på jorden de råkar ha sina datacenter, vilket så klart inkluderar Amazons AWS i Tyskland. För dig som vill grotta ner dig i den här frågan rekommenderas du att läsa på om:

  1. Den amerikanska lagen FISA702 – den är extraterritoriell vilket innebär att de organisationer som lyder under amerikansk lagstiftning måste samarbeta även om informationen finns på en dator i andra länder.
  2. Executive Order 12333 – Ronald Reagan stärker amerikansk underrättelsetjänst på 1980-talet.
  3. Amerikanska CLOUD Act (vilket träffar Amazon och Cloudflare som Siteimprove använder för Siteimprove Analytics) – gör det komplicerat att lyckas utestänga amerikanska intressen att inhämta information om EU-medborgares förehavanden.

Siteimprove för inte över uppgifter till tredjeland – men kan de hindra tredjelandet USA att hämta uppgifter från Amazon-tjänsterna de hyr?

Siteimprove själva beskriver sin exponering i den skrivelse de skickat mig, “FAQ Siteimprove Analytics data privacy” (från april 2021), mot Amazon så här: Frågan; för Siteimprove över data till USA?

“No. Personal data is processed and stored only in Denmark and Germany“

Och på sina supportsidor berättar de att de själva inte för över uppgifter till tredje land:

”Siteimprove does not send data to be stored in any third country.”

Siteimprove Analytics: Data Flows and Compliance (7:e maj, 2021)

Och det stämmer säkert bra. Siteimprove för inte själva över information till USA. Däremot har de designat sin IT-arkitektur så att en amerikansk aktör blandas in, på EU:s mark. Då finns alla förutsättningar för att myndigheter i USA på egen hand hämtar data från de Amazon-servrar som Siteimprove hyr i Tyskland. Och att den typen av hämtning faktiskt görs var essensen av Edward Snowdens avslöjande för många år sedan.

Siteimprove Analytics använder enligt dem själva både Amazon och Cloudflare…

Läser man vidare på publik information från Siteimprove själva så anger de att:

”Siteimprove Analytics does not include transferring IP addresses to any third country. Siteimprove uses two cloud-providers for offsite back-up: InterXion (located in Denmark) and Amazon AWS EMEA SARL (“AWS”) (located in Germany).”

Siteimprove Analytics: Data Flows and Compliance (7:e maj, 2021)

Ännu ett kreativt och undvikande svar. Siteimprove behöver inte själva föra över dessa uppgifter till tredjeland. I och med att de använder amerikanska underleverantörers infrastruktur behöver IP-adresser användas, det är själva grunden för att underleverantören ska kunna kommunicera i Siteimproves ställe över internet med de användare vars beteende på en webbplats ska analyseras. Det är vad Webperfs nya test Fouanalytics pekar på – att Siteimprove Analytics har indirekta amerikanska beroenden.

Eftersom Amazon träffas av amerikansk lagstiftning blir det som kund till Siteimprove Analytics omöjligt att garantera att uppgifterna inte hämtas ut av amerikanska myndigheter. Siteimprove anger dessutom i sin supportartikel att de använder Cloudflare, som också är ett amerikanskt företag som kan tvingas samarbeta med amerikanska myndigheter. Bakom Cloudflares infrastruktur återfinns Amazon ännu en gång som underleverantör.

Det är fina ord att, parafraserat, “kunden äger sina data” och att “Siteimprove varken lagrar eller skickar dessa data till ett tredjeland”. För den som tolkar GDPR med lite försiktighetsmarginal och lyssnat på EU-domstolens senaste avgörande, Schrems 2 i juli 2020, blir det ganska enkelt. Man blandar in amerikanska underleverantörer och de styrs av amerikansk lagstiftning oavsett var deras datacenter är placerade.

Siteimprove Analytics är helt enkelt inte ett fullt så tryggt val som Vizzit eller en Matomo man antingen driftar själv eller med leverantör utan kopplingar utanför EU.

Vilka i svensk offentlig sektor använder Siteimprove Analytics?

Webperf listar cirka 700 organisationer i svensk offentlig sektor. Nedan är de som vid vår titt i midsommarveckan använde Siteimprove Analytics. Några av dem kanske nyss flyttat från det än mer uppenbart problematiska Google Analytics? Men av 105 som valt Siteimprove Analytics är det enbart Umeå Universitet som enligt vårt test med PageXray/FouAnalytics som faktiskt ber om samtycke innan de bjuder in Siteimprove som tredjepart (och amerikanska Amazon som dess underleverantör).

Siteimprove tipsar om följande vilket ingen utom Umeå bland deras kunder i offentlig sektor tycks följa:

“Asking for informed consent prior to collecting a customer’s data.”

GDPR compliance issues (Siteimprove, hämtat juni 2021)

Följande använde Siteimprove Analytics i slutet på juni 2021:

  1. Umeå universitet – enligt Webperfs testverktyg ensam om att be om lov innan de börjar spåra.
  2. Nykvarn
  3. Ängelholm
  4. Stockholms universitet (SU)
  5. Luleå Tekniska Universitet (LTU)
  6. Region Östergötland
  7. Vansbro
  8. Trollhättan
  9. Väntetider i vården
  10. Mariestad
  11. Myndigheten för delaktighet (MFD)
  12. Elsäkerhetsverket
  13. Högskolan Kristianstad
  14. Norrköping
  15. Verksamt
  16. Härnösand
  17. Statistiska Centralbyrån (SCB)
  18. Kristinehamn
  19. Sahlgrenska Akademin
  20. Kungsbacka
  21. Swedish Cleantech
  22. Vallentuna
  23. Brottsoffermyndigheten
  24. Region Norrbotten
  25. Vaggeryd
  26. Sala
  27. Region Stockholm
  28. Hässleholm
  29. Torsby
  30. Ale
  31. Folke Bernadotteakademin (FBA)
  32. Skurup
  33. Kävlinge
  34. Mölndal
  35. Statens haverikommission (SHK)
  36. Sundbyberg
  37. Värnamo
  38. Hitta vård i Skåne
  39. Inspektionen för arbetslöshetsförsäkringen (IAF)
  40. Borlänge
  41. Region Kalmar län
  42. Kristianstad
  43. Karlskrona
  44. Malmö
  45. Ekerö
  46. Organisationen har inte längre Siteimprove Analytics, 30:e juni. De har dock kvar Cloudflare, Google Fonts och Google Analytics
  47. Göteborgs Universitet (GU)
  48. Organisationen tog bort Siteimprove Analytics 23:e juni
  49. Region Västernorrland
  50. Lund
  51. Falkenberg
  52. Nationella Kvalitetsregister
  53. Österåker
  54. Boverket
  55. Akademiska sjukhuset i Uppsala
  56. Heby
  57. Haninge
  58. Timrå
  59. Chalmers tekniska högskola
  60. Högskolan i Borås
  61. Uppsala universitet
  62. Karolinska Institutet
  63. Boden
  64. Lerum
  65. Gullspång
  66. Västerås
  67. Region Skåne
  68. Tyresö
  69. Älvdalen
  70. Strängnäs
  71. Region Dalarna
  72. Energimyndigheten
  73. Konkurrensverket
  74. Högskolan i Skövde
  75. Värmdö
  76. Emmaboda
  77. Årjäng
  78. Ronneby
  79. Karlskoga
  80. Lunds Universitet
  81. Töreboda
  82. Håbo
  83. Ehälsomyndigheten
  84. Örebro
  85. Falun
  86. Habilitering & Hälsa, Region Stockholm
  87. Hylte
  88. Högskolan i Gävle
  89. Lidingö
  90. Orsa
  91. Region Jönköpings Län
  92. Halmstad
  93. Riksarkivet
  94. Sveriges Kommuner och Regioner (före detta SKL)
  95. Simrishamn
  96. Blekinge Tekniska Högskola (BTH)
  97. Jämställdhetsmyndigheten
  98. Danderyd
  99. Specialpedagogiska skolmyndigheten (SPSM)
  100. Sunne
  101. Alkohollinjen
  102. Malmö Universitet
  103. Högskolan Väst
  104. Statens beredning för medicinsk och social utvärdering (SBU)
  105. Kil

Mer om Siteimprove och alternativ för webbanalys

Till toppen